作者mayuyu ((・ω・)ノ)
看板AntiVirus
标题Re: [问题] 档案改唯读,是否可破勒索病毒行为?
时间Tue Jun 7 08:43:48 2016
※ 引述《lmkkml (小羊~~~)》之铭言:
: 回楼下麻友友大说的是别的方法一XD。只拿Cerber等现在流行的病毒来说是都有效没错,
: 但如果我在病毒执行後UAC一律放行,那个方法也是有机会挂掉,特别是删除阴影复制+加
: 密这类的,又或是Petya这种以MBR为目标的勒索病毒,UAC一按放行就直接没救了。
: : 推 vobor: 方法ㄧ不就是最快被破解的那个吗..
对,我说的「方法一」
是指以前lmkkml大大在下面这篇文章里写的防御方法
https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1461847912.A.603.html
很好用,又有效又方便。
lmkkml大大在文章里还有提过一个「拒绝资料夹写入」的方法:
如果你使用的当前帐户是系统管理员身份,
在想要保护起来的资料夹上按右键点选内容→安全性→编辑,
进入变更权限视窗後→选取 Administrators→
拒绝写入的方框打勾→按下「确定」。
这个方法的好处是即使勒索病毒拿到系统管理员权限,
也无法修改受到保护的资料夹。
保护的资料夹仍然可以正常读取,只是无法修改,
需要修改的时候,再取消「拒绝写入」的勾选就好了,
恢复的速度很快。
另外在下面这篇回覆里,有提到可以设定应用程式白名单的软体
https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1465127023.A.96E.html
只有白名单内的程式可以修改受保护的资料夹,
其他程式都禁止修改,即使是以系统管理员身份运行的程式也一样。
所以这些软体也可以阻止勒索病毒加密受保护的档案。
这些软体像Secure Folders同样是利用Windows的权限控管机制
(系统存取控制清单ACLs)来禁止应用程式存取资料夹。
我们也可以用lmkkml大介绍的「拒绝资料夹写入」的方法做到相同的功能。
假设现在系统有两个用户,一个是系统管理员Administrator,
一个是标准使用者mayuyu。
1. 建立一个新的标准使用者帐户,譬如说No.1。
2. 在资料夹上按右键点选内容→安全性→编辑,进入变更权限视窗後,
将Administrators和mayuyu的拒绝写入方框打勾。
3. 按「新增」→「进阶」→「立即寻找」
选取刚刚新增的帐户No.1
4. 将No.1允许写入的方框打勾
这样设定之後,系统管理员和mayuyu都不能写入这个资料夹,
只有运行在No.1这个帐户底下的程式可以。
平常登入Windows的时候,就使用Administrator或mayuyu帐户,
同样可以读取受保护的资料夹。
需要写入的时候,例如要修改档名、修改MP3的TAG、解压缩档案的时候,
在要开启的应用程式上按住shift点右键,
在弹出的右键选单里选「以不同的使用者身分执行」,
然後选择以No.1的身份运行这些程式,
这样这些程式就可以修改受保护的资料夹了。
记得一定要开UAC。
WIN8要修改群组原则才能在开始功能表下用右键选择
「以不同的使用者身分执行」。
可以用runas命令建立指定使用者身份的应用程式捷径,
以後直接点捷径就可以切换身份执行。。
有些软体有提供Run as...开启程式的功能,
例如Process Hacker,
可以很快用指定身份开启需要的程式。
当然,这个方法就变得有些麻烦,
我还是觉得直接用Secure Folders最方便xD
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.219.36.121
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1465260232.A.759.html
1F:推 william456: Secure Folders不是倒了,还能购买? 06/07 08:53
2F:→ mayuyu: Secure Folders(有s,Secure Folder是另一个软体) 06/07 08:57
3F:→ mayuyu: 的网站已经消灭了 软体已经不再更新 06/07 08:57
4F:→ mayuyu: 所以务必把Secure Folders的更新检查在选项里关闭 06/07 08:58
5F:→ mayuyu: Secure Folders一直是免费的不用购买 06/07 08:58
6F:→ william456: 原来两个不同(笔记...) 06/07 09:02
7F:→ roh: 请问Secure Folder不好嘛? 06/07 09:54
8F:推 abram: 不是不好 楼上 而是他是付费版的 06/07 10:23
9F:→ abram: Secure FolderS 则是免费软体 06/07 10:24
10F:推 lmkkml: 哈哈,麻友友大提到到三个帐户让我忽然有个灵感,可以 UAC 06/07 10:57
11F:→ lmkkml: 放行到爽也不会被加密!这个想法是标准使用者帐户该方法的 06/07 10:58
12F:→ lmkkml: 进阶延伸版,D槽权限要稍作调整,主要差别是改成一个使用 06/07 10:59
13F:→ lmkkml: 者、两个管理员,大概变成下图这样子,理论上可以 UAC 放 06/07 10:59
14F:→ lmkkml: 到爽,等有时间再来实际操作测试。 06/07 11:00
16F:推 william456: 期待lmkkml的文章,自从synology locker爆发後,看到 06/07 11:11
17F:→ william456: 变种都紧张兮兮,目前是用Norton+malbytes anti ranso 06/07 11:11
18F:→ william456: mware beta +secure folders+chrome flash control +A 06/07 11:11
19F:→ william456: dblock plus+unlock origin ,然後每次开机就先看adob 06/07 11:11
20F:→ william456: e和windows由无更新 06/07 11:11
21F:→ JohnnyDell: ADP跟uBlock择一就可以了吧 06/07 14:27
22F:→ mayuyu: 三个帐户的想法是偷自Secure Folders的设计原理w 06/07 16:19
23F:→ mayuyu: 期待lmkkml大的进阶版! 06/07 16:20
24F:→ mayuyu: @JohnnyDell ADP或uBlock可以增加订阅「恶意域名」 06/07 16:20
25F:→ mayuyu: 的过滤规则 除了普通的广告 也可以阻挡已知散布 06/07 16:20
26F:→ mayuyu: 恶意软体的网域 这样子即使病毒不是藏在广告里 06/07 16:20
27F:→ mayuyu: 恶意代码连到这些网域要下载木马的时候也会被阻挡 06/07 16:20
28F:→ mayuyu: uBlock还有阻挡第三方js的动态过滤规则 06/07 16:20
29F:→ mayuyu: 只有确定安全的网站再手动放行 也可以再减少一些风险 06/07 16:21
30F:推 chang0206: 请问uBlock要怎麽订阅?在选项中没看到订阅耶 06/07 17:16
31F:推 chang0206: 啊,在控制台里面 找到了.. 06/07 17:18
控制台→第三方过滤规则→恶意域名
uBlock不会因为订阅的规则越多,处理效率变慢,
所以可以全部都订阅没关系。
还有其实防火墙也有这个功能。
如果你觉得WIN7/WIN10要按住shift+右键,
或者是WIN8/WIN10的开始功能表还要修改群组原则or登录编辑,
才能叫出「以不同的使用者身分执行」的选单很麻烦,
微软自己有提供一个工具
https://technet.microsoft.com/zh-tw/sysinternals/cc300361.aspx
绝对没有毒请放心下载xD
下载後执行ShellRunas.exe /reg,以後直接右键打开选单就都会出现
「以不同的使用者身分执行」(Run as different user...)的选项。
在WIN10也一样可以用喔。
如果要永久建立以指定身份执行的程式捷径,
可以用runas命令
runas /user:使用者名称 "程式路径"
存成捷径或bat档,以後点击这个捷径就会以指定身份开启程式。
※ 编辑: mayuyu (61.219.36.161), 06/07/2016 18:29:36
32F:推 moyoro: 不好意思想请问...我刚好奇试了拒绝写入的办法也的确成功 06/07 19:26
33F:→ moyoro: 了 但在想取消写入的时候无论什麽权限框框都完全不能点选 06/07 19:27
34F:→ moyoro: 方便的话想请问应该如何把它勾回来呢XD" 谢谢!! 06/07 19:28
35F:→ mayuyu: 请问你使用的作业系统是?WIN8? WIN10? 登入的使用者身份? 06/07 20:52
36F:→ mayuyu: 我没有遇到不能改的情况 你可以抓个你目前安全性设定的图 06/07 20:53
37F:→ mayuyu: 给我看一下? 06/07 20:53
38F:→ cak90253: 请问Secure Folders win10能否使用呢? 06/07 21:38
39F:→ mayuyu: WIN10可以用 06/07 21:51
40F:推 moyoro: 您好 刚刚误打误撞解决了XD 我使用的是WIN7 但不知道为什 06/07 21:58
41F:→ moyoro: 麽那颗磁碟的拥有者是乱码(不是任何已知的使用者) 因此无 06/07 21:59
42F:→ moyoro: 哪个权限都改不了设定XD" 因此更动拥有者为系统管理员就OK 06/07 22:00
43F:→ moyoro: 了 谢谢您!! 06/07 22:00
44F:→ mayuyu: 原来是这个原因,我刚刚有想到可能是拥有者的问题, 06/07 22:27
45F:→ mayuyu: 想请你改拥有者试试看,结果你已经自行解决了 ^^ 06/07 22:27
46F:→ mayuyu: 推荐试试看lmkkml大的方法一,真的方便又好用。 06/07 22:28
※ 编辑: mayuyu (61.219.36.156), 06/07/2016 22:28:43
47F:推 sweetgold: 快帮mayuyu投票阿! 06/07 22:48
48F:→ sweetgold: 剩10天惹 06/07 22:48